首页 > 专栏 > 正文
在第 1 部分(共 2 部分)中,Giacomo Zucco 通过回到白皮书的开头来探索比特币与隐私之间的基本关系。
比特币和隐私

比特币的安全性和隐私性

一个人的注意力如何在短短两周内转移!虽然今天比特币领域的每个人似乎更关心价格波动以应对全球金融恐慌(这是可以理解的),但重要的是要记住永远不会消失的长期问题,例如在比特币交易时保护隐私的重要性。尤其是在本月,我们一直听到有关 KYC/AML 合规交易所因涉嫌使用 CoinJoin 软件而冻结用户帐户的报道(稍后会详细介绍),随后又是另一起著名且受人尊敬的早期比特币支持者宣传其新的非流动性山寨币“将取代不够私密的比特币!” 

如果您想暂时远离全球流行病、金融危机和价格波动,这里尝试分析这一最新“比特币大戏”的说法、事实和背景。首先,在这个由两部分组成的系列的第 1 部分中,我们将通过回到白皮书的开头来研究比特币与隐私之间的基本关系。然后,在第 2 部分中,我们将重点关注维护和改进比特币隐私的一些方式——并打击一些“红鲱鱼”。

金钱需要隐私

比特币旨在执行货币功能,而货币需要将个人身份与特定货币单位和交易严格分开,以便大规模可持续地运作。这种分离至少有两个基本组成部分。

可否认性

我们可以将第一个组成部分称为“可否认性”。这描述了个人使用货币工具之后可信地否认与其有任何联系的可能性。

这样做的原因是货币的发展是为了促进个人储蓄和人与人之间的自愿交换。但自愿交换的正和博弈并不是增加财富的唯一途径:另一种方式是暴力没收的负和博弈。正如社会学家和政治经济学家弗朗茨·奥本海默 (Franz Oppenheimer)出色地指出的那样,社会内部财富获取有两种不同的范式:

“这些是劳动和抢劫:自己的劳动和对他人劳动的强行占有。我在下面的讨论中建议把自己的劳动和自己的劳动对他人劳动的等价交换称为经济手段。满足需要,而无偿占用他人劳动则称为政治手段。”

虽然诉诸政治手段的诱惑总是存在于广泛的社会环境中,但当涉及金钱时,这种诱惑就变得特别强烈:同样的特征使金钱成为交换和储存经济上获得的财富的特别好的工具,这也使它作为一种特别有趣的工具没收的目标——并作为一种储存政治上获得的财富的方式。

交换和储存金钱的个人更容易成为政治寻租者的目标,因为抢劫他们比抢劫简单易货的参与者或根本不交换的隔离隐士更有效。政治组织经常倾向于将没收视为以受害者所从事的特定交易类型为条件:税收、关税、通行费、关税、贡品、罚款、贿赂、罚款、消费税、保护费等。

通信中的隐私很重要,而经济交流是对抗环境中最重要、最敏感、最私密且具有潜在危险的通信形式之一。有钱能使鬼推磨。财务和商业生活完全暴露的人遭受抢劫、勒索、绑架或政治征用的风险更高。

由于所有这些原因,经济主体必须能够将他们自己的公共身份与他们参与的特定货币交易分开,从而能够否认这种联系。

可替代性

第二个组成部分称为“可替代性”。在这里,我们的意思是,接收货币工具的个人有可能安全地忽略该工具与过去与之交互的任何特定个人或用例之间的任何联系。

可替代性更像是一个经济类别而不是政治类别:它基本上意味着任何随机数量的钱实际上与其他任何金额都没有区别,从而降低了收款人的验证成本。一张 50 美元的钞票和其他钞票一样好,您无需知道过去谁使用过它,今天就可以接受或使用它作为付款。事实上,如果接收者在评估每个单元的价值之前必须评估它的历史,那么验证成本将成倍增加。

具有讽刺意味的是,世界范围内“了解你的客户”法规的一个相对较新的趋势是,实际上,金钱主要被用作商家避免了解(和信任)他们的客户的一种方式!客户已经以某种方式被要求“了解他们的商家”,因为他们必须相信他们购买的产品或服务的质量和可靠交付。但是,当商人从琐碎的易货或信贷系统扩展到实际市场时,他们会使用金钱来摆脱了解所有客户的负担。“KYC”监管只是一种政治控制工具,以一种散发着经济文盲的矛盾表达方式进行营销。

这不是一个意识形态问题,而是一个功能问题:如果每个当前接收者都必须验证每个前任所有者的整个政治地位,以便知道如何做,那么一件商品就不能轻易地通过许多人的手(就像货币商品必须做的那样)他实际上继承了许多政治风险(包括迫害、审查、税收、债务)。不可替代的商品不能像货币一样运作。

有些商品是缓解可否认性和可替代性问题的理想选择:“不记名票据”不携带以前所有者的个人信息,使每个人都可以轻松否认参与任何特定交易。

比特币:为隐私而生

中本聪创造了比特币作为保护隐私的工具。中本聪积极参与的整个密码朋克任务都是关于个人和财务隐私的,比特币实验是其加冕礼。Satoshi 的大部分早期消息和出版物(包括著名的白皮书,其中有一段专门介绍它)都非常关注其隐私功能。

白皮书中关于隐私的第一个考虑是集中式在线支付中介很容易受到监管。因此,很容易推动这些中介机构积极调解纠纷,从而使大多数交易可逆。因此,这一要求迫使害怕退款风险的商家“非常警惕他们的客户,向他们索取比他们原本需要的更多信息”。商家再次被推回到“KYC 悖论”。由于去中心化且无法监管,比特币不能被迫积极调解纠纷。出于这个原因,比特币交易很快就会变得不可逆转,这使得对付款人的个人身份进行任何调查都是多余和不必要的。

第二个考虑涉及这样一个事实,即比特币的基础层(“时间链”,旨在在不需要可信第三方的情况下避免双重支付)需要公布每笔结算交易,从而限制了应用传统“隐私通过”的机会。默默无闻”的中心化供应商技术。加密公钥的匿名性减轻了这种限制,这些公钥只打算使用一次,与工作身份没有任何关联。用中本聪的话来说,

“传统的银行模式通过限制相关方和受信任的第三方对信息的访问来实现一定程度的隐私。公开宣布所有交易的必要性排除了这种方法,但仍然可以通过打破另一个信息流来维护隐私地点:通过保持公钥匿名。公众可以看到有人正在向其他人发送金额,但没有将交易与任何人联系起来的信息。这类似于证券交易所发布的信息级别,其中的时间和大小个别交易,即‘录音带’,被公开,但没有说明当事人是谁。”

隐私和信任:全有或全无

中本聪和许多其他早期比特币贡献者和研究人员讨论过的这种透明设置的一个有趣特征是其隐私保证的全有或全无性质。值得信赖的第三方确实可以承诺保护您的敏感信息免受潜在绑架者、劫匪或跟踪者的侵害,同时仍被迫向更强大的政治实体(民族国家及其税务机构、金融机构、秘密服务机构)提供任何细节, 等等。)。 

在(伪)匿名但公开的环境中,可以安全地假设,在后一种类型的对手能够访问敏感财务信息的每种情况下,前一种类型也会找到方法。当某个人在时间链上的隐私被破坏时,它就会被破坏,有利于所有具有互联网连接的窥探者:政府、强盗、黑客、商业竞争对手、个人敌人、仇恨者、前配偶等。这应该成为一种强烈的激励让用户保护他们的“链上”可否认性,从而保护所有人的可替代性。

另一方面,比特币基础层交易在内部已经显示出完美的可替代性。这意味着,虽然每笔交易都是公开的,但没有关于在某个交易中谁控制了花费特定输入的私钥,或者现在谁控制了将要执行的私钥的公开数据。花费特定的输出。 

比特币的规则向我们保证,所有输入花费的 satoshis 总量等于或小于所有输出中“锁定”的 satoshis 总量(交易不能造成通货膨胀,他们只能省略“区块空间费用”对于矿工)。但技术上无法确定,仅从公共时间链数据来看,具有 10 个输入和 10 个输出的交易是否将 satoshis 从一个付款人转移到十个收款人,或从两个付款人转移到一个收款人,或从一个实体转移到他自己。当然,基于启发式和常见模式的一些概率推断是可能的,但在单个交易级别,公共时间链数据无法证明任何事情。 

虽然让一个或多个实体控制输出是微不足道的,但让更多实体控制输入有点棘手,需要在交易广播之前所有收款人之间进行一些实时协调。幸运的是,比特币交易的原子性使得这个过程不需要不同的、未知的收款人之间的任何信任。 

可替代性因素

比特币交易的这种可替代性特性从一开始就成为比特币设计的一部分,但直到后来不同的贡献者才明确指出其对隐私的影响。最后,在 2013 年,由 Gregory Maxwell 创建的标签 CoinJoin 指的是比特币钱包应该实施的最佳实践,以充分利用这种预先存在的内部可替代性。随着时间的推移,已经提出了该技术的许多变体(PayJoin、JoinMarket、CoinSwap、P2EP 和 Zerolink 在钱包 Wasabi 和 Samourai 中实现),所有这些都具有相同的目标:利用协议的基本可互换性。

另一个有可能提高比特币隐私的动态是它的分层。协议栈的上层,如闪电网络,不需要使用时间链来确认每一笔交易;相反,交易仅用作打开和关闭“合同”的“锚点”,以便在其他地方进行支付。中本聪早就设想过这样的“支付渠道”:

“各方保留此交易,如果需要,将其传递,直到它有足够的签名。[...] 他们可以通过一致同意不断更新交易。提供资金的一方将是第一个签署下一个版本的人. 如果一方停止同意更改,那么最后一个状态将在 nLockTime 记录。如果需要,可以在每个版本之后准备一个默认交易,以便 n-1 方可以将没有响应的一方推出。中间交易不需要“广播。网络只记录最终结果。就在 nLockTime 之前,各方和一些见证节点广播他们看到的最高序列 tx。”

事实证明,这并不是引入支付渠道的确切方式(它有缺陷),但它们现在是许多比特币用户的常用工具。它们可以直接使用,也可以通过路由共同使用。虽然通常以“可扩展性”解决方案的形式出现,但闪电网络和一般来说,第 2 层技术具有巨大的隐私优势,可以大量减少时间链上可用的公共信息量。

从错误的脚开始

当然,在日常比特币钱包和工具中实施隐私最佳实践并非易事。首先,在减少链上信息泄露量的同时,Layer 2 技术和 CoinJoin 往往会增加需要管理和保护的网络级信息量(主要是因为需要实时交互、最新可访问对等点列表、公开可用的流动性等)。尤其是闪电网络,在2017 年底用户采用协议升级之前,启动起来并不容易。

虽然 CoinJoin 与闪电网络不同,从第 0 天开始就可以在理论上实现(尽管在协调、流动性和金额混淆方面存在许多实际挑战),但大多数实际的比特币钱包并没有费心寻找方法来实现。由于不这样做,他们巩固了一个危险的趋势:大多数链上交易被认为是由一个实体创建、签名和广播的,完全控制与所有输入相关的私钥。比特币交易开始被视为总是一对一或一对多。因此,该协议最有效的可替代性功能之一直到最近才真正成为钱包的最佳实践,即使它一直可用。

但不幸的是,还有更多。其他更简单的最佳实践,包括在比特币的设计中,作为微不足道的默认设置,在早些年被工具构建者忽略,他们不太关心隐私,更关注用户体验。一个明显的例子是地址重用。中本聪关于公钥匿名性的话是在假设用户每次收到比特币时都会生成一个一次性地址,然后在再次使用后将被丢弃并且永远不会再使用的假设下写的。(也许“地址”这个词本身毕竟不是一个好的选择,它通常与永久引用相关联:电子邮件、IBAN 等;而现在用于闪电网络交易的“发票”这个词本来应该是更干净的选择。) 

实现这种设计也不是一件容易的事(尤其是在引入 HD 钱包之前,这使得只需一个“主”备份就可以更容易地重新派生数千个密钥)。因此,我们最终对静态地址进行了大量重用,从而降低了熵并促进了分析和去匿名化。用户开始将同一地址链接到他们在论坛、社交网络和博客上的个人资料。对于许多早期用户来说,付款意味着让收款人全面了解他们过去和未来在比特币中的所有财务生活。

另一个重大事件是“轻客户端”的激增:应用程序无法直接下载、验证和存储时间链,但能够存储私钥并查询其他节点(在最好的情况下,是受信任的第三方,如钱包提供商;在最坏的情况下,随机节点,在所谓的“SPV 钱包”中)用于涉及相应公钥的交易的有效性。除了在安全方面造成系统性风险外,这些客户端还成为隐私方面的常见危害。

在这方面,工具提供商最初忽略了其他一些次要的实施最佳实践(包括面向隐私的硬币选择、合并避免、变更管理等),但是,在大多数情况下,这三个实践代表了窃听者雇佣的“链分析”公司采用的启发式方法来监视比特币用户。

截至今天,这些问题中的大多数都有出色的技术解决方案和实现它们的现代工具。但是,很难在一个已经“吸毒”的生态系统中推行最佳实践(有时会带来很小但存在的协调成本),即使是危险的捷径也很容易。正如他们所说,隐私喜欢陪伴:即使您拥有最好的工具并遵循最佳实践,如果您是唯一这样做的人,也无济于事(事实上,让您的努力站得住脚甚至可能会受到伤害)相比之下,让你成为聚光灯下的人)。

在第 2 部分中,我们将研究一些威胁我们作为比特币用户隐私的技术、对隐私的常见误解,最后,比特币的创新将如何使隐私更安全、更易于维护。

猜你喜欢
发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论信息